Probleemoplossing met Network Time Protocol (NTP) op FirePOWER Systems
Inhoud
Inleiding
Dit document beschrijft gemeenschappelijke problemen met tijdsynchronisatie op FireSIGHT Systems en hoe u deze problemen kunt oplossen. U kunt ervoor kiezen de tijd tussen uw FireSIGHT-systemen op drie verschillende manieren te synchroniseren, zoals handmatig met externe Network Time Protocol-servers (NTP) of met FireSIGHT Management Center dat fungeert als een NTP-server. U kunt een FireSIGHT Management Center als een tijdserver met NTP configureren en deze vervolgens gebruiken om tijd te synchroniseren tussen het FireSIGHT Management Center en beheerde apparaten.
Voorwaarden
Vereisten
Om de tijdsynchronisatie-instelling te configureren hebt u beheerniveau van toegang nodig op uw FireSIGHT Management Center.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Symptomen
- FireSIGHT Management Center geeft waarschuwingen op de webinterface weer.
- De pagina Health Monitor toont een apparaat als kritiek, omdat de status van Time Synchronization Module niet-sync is.
- U kunt periodieke waarschuwingen zien als de apparaten niet gesynchroniseerd blijven.
- Nadat een systeembeleid is toegepast, kunt u waarschuwingen voor de gezondheid zien, omdat een FireSIGHT Management Center en de beheerde apparaten tot 20 minuten kunnen duren om de synchronisatie te voltooien. Dit komt doordat een FireSIGHT Management Center eerst moet synchroniseren met de geconfigureerde NTP-server voordat het tijd kan besteden aan een beheerd apparaat.
- De tijd tussen een FireSIGHT Management Center en een beheerd apparaat komt niet overeen.
- Bij de sensor gegenereerde gebeurtenissen kunnen minuten of uren duren voordat ze zichtbaar worden op een FireSIGHT Management Center.
- Als u virtuele apparaten gebruikt en de pagina Health Monitor aangeeft dat de klokinstelling voor uw virtuele apparaat niet gesynchroniseerd is, controleert u de instellingen voor de tijdsynchronisatie van het systeembeleid. Cisco raadt u aan uw virtuele apparaten op een fysieke NTP-server te synchroniseren. synchroniseer uw beheerde apparaten (virtueel of fysiek) niet aan een Virtual Defense Center.
Problemen oplossen
Stap 1: Controleer NTP-configuratie
Hoe te controleren in versies 5.4 en eerder
Controleer dat NTP is ingeschakeld op het systeembeleid dat op FireSIGHT Systems wordt toegepast. Voltooi de volgende stappen om te controleren:
- Kies Systeem > Lokaal > Systeembeleid.
- Bewerk het systeembeleid dat op uw FireSIGHT Systems is toegepast.
- Kies Tijd synchroniseren.
Controleer of het FireSIGHT Management Center (ook bekend als Defense Center of DC) de kloktijd via NTP heeft ingesteld en er een adres van een NTP-server is opgegeven. Bevestig ook dat het beheerde apparaat via NTP is ingesteld vanuit Defense Center.
Als u een externe NTP-server op afstand specificeert, moet uw apparaat er netwerktoegang tot hebben. Geef geen onvertrouwde NTP-server op. synchroniseer uw beheerde apparaten (virtueel of fysiek) niet aan een Virtual FireSIGHT Management Center. Cisco raadt u aan uw virtuele apparaten op een fysieke NTP-server te synchroniseren.
Hoe kunt u de versies 6.0 en hoger controleren
In versies 6.0.0 en later worden de instellingen voor tijdsynchronisatie op verschillende plaatsen in het FireSIGHT Management Center geconfigureerd, hoewel ze dezelfde logica volgen als de stappen voor 5.4.
De instellingen voor tijdsynchronisatie voor Firepower Management Center zelf worden gevonden onder System > Configuration > Time Synchronization.
De instellingen voor de tijdsynchronisatie van de beheerde apparaten worden gevonden onder Apparaten > Platform Settings. Klik op Bewerken naast het beleid van de Instellingen platform dat op het apparaat is toegepast en kies vervolgens Tijd synchroniseren.
Nadat u de configuratie voor tijdsynchronisatie hebt toegepast (ongeacht de versie), zorg er dan voor dat de tijd op uw Management Center en uw beheerde apparaten overeenkomen. Anders kunnen onbedoelde gevolgen optreden wanneer de beheerde apparaten met het Management Center communiceren.
Stap 2: Identificeer een Timeserver en zijn status
- Om informatie over de verbinding met een tijdserver te verzamelen, voer u deze opdracht in op uw FireSIGHT Management Center:
admin@FireSIGHT:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
*198.51.100.2 203.0.113.3 2 u 417 1024 377 76.814 3.458 1.992Een sterretje '*' onder de afstandsbediening geeft aan op welke server u momenteel gesynchroniseerd bent. Als een ingang met een asterisk niet beschikbaar is, is de kloktijd momenteel niet gesynchroniseerd met de tijdbron.
Op een beheerd apparaat kunt u deze opdracht op een schaal invoeren om het adres van uw NTP-server te bepalen:
> show ntp
NTP Server : 127.0.0.2 (Cannot Resolve)
Status : Being Used
Offset : -8.344 (milliseconds)
Last Update : 188 (seconds) - Als een apparaat toont dat het synchroon is met 127.127.1.1, duidt dit erop dat het apparaat met zijn eigen klok samenvalt. Het gebeurt wanneer een server die op een systeembeleid is ingesteld, niet synchroniseerbaar is. Bijvoorbeeld:
admin@FirePOWER:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
192.0.2.200 .INIT. 16 u - 1024 0 0.000 0.000 0.000
*127.127.1.1 .SFCL. 14 l 3 64 377 0.000 0.000 0.001 - In de opdrachtoutput van ntpq, als u opmerkt dat de waarde van st (stratum) 16 is, geeft dit aan dat de timeserver onbereikbaar is en het apparaat niet met die server kan sychroniseren.
- Op de opdrachtoutput van ntpq toont reach een octaal nummer dat aangeeft dat de meeste recente acht stempogingen succes of falen om de bron te bereiken. Als je ziet dat de waarde 377 is, betekent dat de laatste 8 pogingen succesvol waren. Alle andere waarden kunnen erop wijzen dat één of meer van de laatste acht pogingen niet succesvol waren.
Stap 3: Controleer de connectiviteit
- Controleer de basisverbinding aan de tijdserver.
admin@FireSIGHT:~$ ping - Zorg ervoor dat poort 123 op uw FireSIGHT System is geopend.
admin@FireSIGHT:~$ netstat -an | grep 123
- Bevestig dat poort 123 op de firewall is geopend.
- Controleer de hardwareklok:
admin@FireSIGHT:~$ sudo hwclock
Als de hardwarekloktijd te ver verouderd is, zullen ze misschien nooit succesvol sync's zijn. Om de klok met een tijdserver handmatig in te stellen, voert u deze opdracht in:
admin@FireSIGHT:~$ sudo ntpdate -uStart het ntpd nogmaals:
admin@FireSIGHT:~$ sudo pmtool restartbyid ntpd
Stap 4: Controleer de configuratiebestanden
- Controleer of het bestand sfipproxy.conf correct is ingevuld. Dit bestand stuurt NTP-verkeer via de sfunnel.
Een voorbeeld van het /etc/sf/sfipproxy.conf-bestand op een beheerd apparaat wordt hier getoond:admin@FirePOWER:~$ sudo cat /etc/sf/sfipproxy.conf
config
{
nodaemon 1;
}
peers
{
dbef067c-4d5b-11e4-a08b-b3f170684648
{
services
{
ntp
{
listen_ip 127.0.0.2;
listen_port 123;
protocol udp;
timeout 20;
}
}
}
}Een voorbeeld van het /etc/sf/sfipproxy.conf-bestand in een FireSIGHT Management Center wordt hier getoond:
admin@FireSIGHT:~$ sudo cat /etc/sf/sfipproxy.conf
config
{
nodaemon 1;
}
peers
{
854178f4-4eec-11e4-99ed-8b16d263763e
{
services
{
ntp
{
protocol udp;
server_ip 127.0.0.1;
server_port 123;
timeout 10;
}
}
}
} - Zorg ervoor dat het Universal Unieke Identifier (UUID) onder de peers sectie aansluit bij het ims.conf-bestand in het peer. Bijvoorbeeld, UUID die onder de peers sectie van het /etc/sf/sfipproxy.conf bestand in een FireSIGHT Management Center wordt gevonden moet overeenkomen met de UUID die in het /etc/ims.conf bestand van het beheerde apparaat is gevonden. Op dezelfde manier moet de UUID die onder het peer-gedeelte van het /etc/sf/sfipproxy.conf-bestand op een beheerd apparaat wordt gevonden, overeenkomen met de UUID in het /etc/ims.conf-bestand van het beheerapparaat.
U kunt UID van de apparaten met deze opdracht ophalen:
admin@FireSIGHT:~$ sudo grep UUID /etc/sf/ims.conf
APPLIANCE_UUID=dbef067c-4d5b-11e4-a08b-b3f170684648Deze zouden normaliter automatisch door het systeembeleid moeten worden ingevuld, maar er zijn gevallen geweest waarin deze stangen ontbraken. Als ze moeten worden aangepast of gewijzigd moet u sfipproxy en sftunnelas als volgt herstarten:
admin@FireSIGHT:~$ sudo pmtool restartbyid sfipproxy admin@FireSIGHT:~$ sudo pmtool restartbyid sftunnel
- Controleer of er een ntp.conf-bestand in de directory /e.d. beschikbaar is.
admin@FireSIGHT:~$ ls /etc/ntp.conf*
Als een NTP-configuratiebestand niet beschikbaar is, kunt u een kopie maken uit het back-upconfiguratiebestand. Bijvoorbeeld:
admin@FireSIGHT:~$ sudo cp /etc/ntp.conf.bak /etc/ntp.conf
- Controleer of het /etc/ntp.conf-bestand correct ingevuld is. Wanneer u een systeembeleid toepast, wordt het ntp.conf-bestand opnieuw geschreven.
admin@FireSIGHT:~$ sudo cat /etc/ntp.conf
# automatically generated by /etc/sysconfig/configure-network ; do not edit
# Tue Oct 21 17:44:03 UTC 2014
restrict default noquery nomodify notrap nopeer
restrict 127.0.0.1
server 198.51.100.2
logfile /var/log/ntp.log
driftfile /etc/ntp.drift
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)